Η Αρχή πραγματοποίησε έκτακτο επιτόπιο έλεγχο στον ΟΑΣΑ αναφορικά με την προστασία των προσωπικών δεδομένων
Διοικητικό πρόστιμο 50.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στον Οργανισμό Αστικών Συγκοινωνιών Αθηνών (ΟΑΣΑ) για παραβίαση σειράς διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων. Πέραν του προστίμου, η Αρχή απηύθυνε επίπληξη στον Οργανισμό και έδωσε εντολή συμμόρφωσης για δύο από τις πλημμέλειες που διαπίστωσε.
Η Αρχή πραγματοποίησε έκτακτο επιτόπιο έλεγχο στον ΟΑΣΑ αναφορικά με την προστασία των προσωπικών δεδομένων που υφίστανται επεξεργασία στο πλαίσιο του Αυτόματου Συστήματος Συλλογής Κομίστρου (εφεξής ΑΣΣΚ), σύστημα το οποίο αναφέρεται και με τον όρο «ηλεκτρονικό εισιτήριο», υπό το πρίσμα των όσων η Αρχή είχε προδιαγράψει με την υπ’ αριθμ. 4/2017 Γνωμοδότησή της.
Ειδικότερα, η Αρχή, με τη Γνωμοδότηση 4/2017, είχε εκφράσει γνώμη επί της επεξεργασίας την οποία θα πραγματοποιούσε ο ΟΑΣΑ στο πλαίσιο του επικείμενου τότε συστήματος ηλεκτρονικού εισιτήριο, κρίνοντας ότι η νέα μορφή της εν λόγω επεξεργασίας, όπως την περιέγραφε ο ΟΑΣΑ, έχει εναρμονιστεί σε ικανοποιητικό βαθμό με τις προϋποθέσεις που είχε θέσει η Αρχή στη Γνωμοδότηση 1/2017. Ωστόσο, η Αρχή είχε επισημάνει ότι ο ΟΑΣΑ, ως υπεύθυνος επεξεργασίας, θα πρέπει να προβεί σε κάποιες τροποποιήσεις, η αποτελεσματικότητα των οποίων πρέπει να τεκμαίρεται από μελέτη εκτίμησης αντικτύπου στην προστασία προσωπικών δεδομένων (ΕΑΠΔ) την οποία ο υπεύθυνος επεξεργασίας όφειλε να εκπονήσει.
Από τον έλεγχο της Αρχής και την έρευνα που διεξήχθη με βάση τα στοιχεία που προσκομίστηκαν από τον υπεύθυνο επεξεργασίας προέκυψαν τα εξής ευρήματα:
1. Μη έγκαιρη εκπόνηση ΕΑΠΔ: Η εκτίμηση αντικτύπου ως προς την προστασία προσωπικών δεδομένων δεν ήταν διαθέσιμη κατά τη στιγμή του ελέγχου, αλλά υποβλήθηκε τελικά στην Αρχή μετέπειτα.
2. Μη εμπεριστατωμένο περιεχόμενο εκτίμησης αντικτύπου ως προς την προστασία προσωπικών δεδομένων: Η ΕΑΠΔ, η οποία υποβλήθηκε μετά τον έλεγχο, παρουσιάζει ασάφειες σε πολλά σημεία, δεν εξετάζει όλους τους κινδύνους ως προς την προστασία των προσωπικών δεδομένων, ενώ και οι κίνδυνοι που εξετάζονται, δεν φαίνεται ότι αποτιμώνται με τον δέοντα τρόπο. Επίσης, διαπιστώθηκε αναντιστοιχία μεταξύ της εκτίμησης αντικτύπου και του τεθέντος υπόψη της Αρχής αρχείου δραστηριοτήτων ως προς τις νομικές βάσεις της επεξεργασίας για τους διάφορους σκοπούς, η οποία δεν τεκμηριώνεται.
3. Χρόνος τήρησης των δεδομένων: Ο χρόνος τήρησης των δεδομένων στο πλαίσιο του ΑΣΣΚ δεν είχε καθοριστεί κατά τη στιγμή του ελέγχου. Μετά τον έλεγχο, επελέγη ως χρόνος τήρησης τα 20 έτη, για όλους ανεξαιρέτως τους σκοπούς του συστήματος, χωρίς διάκριση και χωρίς σχετική τεκμηρίωση.
4. Αρχείο δραστηριοτήτων επεξεργασίας: Οι σκοποί της εν λόγω επεξεργασίας δεν περιγράφονται στο αρχείο δραστηριοτήτων τόσο αναλυτικά όσο ο υπεύθυνος επεξεργασίας τους είχε περιγράψει αρχικώς στην Αρχή και όπως αυτοί περιγράφονται στις Γνωμοδοτήσεις 1/2017 και 4/2017 της Αρχής. Επίσης, δεν υπάρχει αντιστοιχία μεταξύ των σκοπών που περιγράφονται στο αρχείο δραστηριοτήτων και στη σχετική ενημέρωση η οποία παρεχόταν στα υποκείμενα των δεδομένων κατά την περίοδο εκείνη μέσω του διαδικτυακού τόπου του ΟΑΣΑ.
www.bankingnews.gr
Η Αρχή πραγματοποίησε έκτακτο επιτόπιο έλεγχο στον ΟΑΣΑ αναφορικά με την προστασία των προσωπικών δεδομένων που υφίστανται επεξεργασία στο πλαίσιο του Αυτόματου Συστήματος Συλλογής Κομίστρου (εφεξής ΑΣΣΚ), σύστημα το οποίο αναφέρεται και με τον όρο «ηλεκτρονικό εισιτήριο», υπό το πρίσμα των όσων η Αρχή είχε προδιαγράψει με την υπ’ αριθμ. 4/2017 Γνωμοδότησή της.
Ειδικότερα, η Αρχή, με τη Γνωμοδότηση 4/2017, είχε εκφράσει γνώμη επί της επεξεργασίας την οποία θα πραγματοποιούσε ο ΟΑΣΑ στο πλαίσιο του επικείμενου τότε συστήματος ηλεκτρονικού εισιτήριο, κρίνοντας ότι η νέα μορφή της εν λόγω επεξεργασίας, όπως την περιέγραφε ο ΟΑΣΑ, έχει εναρμονιστεί σε ικανοποιητικό βαθμό με τις προϋποθέσεις που είχε θέσει η Αρχή στη Γνωμοδότηση 1/2017. Ωστόσο, η Αρχή είχε επισημάνει ότι ο ΟΑΣΑ, ως υπεύθυνος επεξεργασίας, θα πρέπει να προβεί σε κάποιες τροποποιήσεις, η αποτελεσματικότητα των οποίων πρέπει να τεκμαίρεται από μελέτη εκτίμησης αντικτύπου στην προστασία προσωπικών δεδομένων (ΕΑΠΔ) την οποία ο υπεύθυνος επεξεργασίας όφειλε να εκπονήσει.
Από τον έλεγχο της Αρχής και την έρευνα που διεξήχθη με βάση τα στοιχεία που προσκομίστηκαν από τον υπεύθυνο επεξεργασίας προέκυψαν τα εξής ευρήματα:
1. Μη έγκαιρη εκπόνηση ΕΑΠΔ: Η εκτίμηση αντικτύπου ως προς την προστασία προσωπικών δεδομένων δεν ήταν διαθέσιμη κατά τη στιγμή του ελέγχου, αλλά υποβλήθηκε τελικά στην Αρχή μετέπειτα.
2. Μη εμπεριστατωμένο περιεχόμενο εκτίμησης αντικτύπου ως προς την προστασία προσωπικών δεδομένων: Η ΕΑΠΔ, η οποία υποβλήθηκε μετά τον έλεγχο, παρουσιάζει ασάφειες σε πολλά σημεία, δεν εξετάζει όλους τους κινδύνους ως προς την προστασία των προσωπικών δεδομένων, ενώ και οι κίνδυνοι που εξετάζονται, δεν φαίνεται ότι αποτιμώνται με τον δέοντα τρόπο. Επίσης, διαπιστώθηκε αναντιστοιχία μεταξύ της εκτίμησης αντικτύπου και του τεθέντος υπόψη της Αρχής αρχείου δραστηριοτήτων ως προς τις νομικές βάσεις της επεξεργασίας για τους διάφορους σκοπούς, η οποία δεν τεκμηριώνεται.
3. Χρόνος τήρησης των δεδομένων: Ο χρόνος τήρησης των δεδομένων στο πλαίσιο του ΑΣΣΚ δεν είχε καθοριστεί κατά τη στιγμή του ελέγχου. Μετά τον έλεγχο, επελέγη ως χρόνος τήρησης τα 20 έτη, για όλους ανεξαιρέτως τους σκοπούς του συστήματος, χωρίς διάκριση και χωρίς σχετική τεκμηρίωση.
4. Αρχείο δραστηριοτήτων επεξεργασίας: Οι σκοποί της εν λόγω επεξεργασίας δεν περιγράφονται στο αρχείο δραστηριοτήτων τόσο αναλυτικά όσο ο υπεύθυνος επεξεργασίας τους είχε περιγράψει αρχικώς στην Αρχή και όπως αυτοί περιγράφονται στις Γνωμοδοτήσεις 1/2017 και 4/2017 της Αρχής. Επίσης, δεν υπάρχει αντιστοιχία μεταξύ των σκοπών που περιγράφονται στο αρχείο δραστηριοτήτων και στη σχετική ενημέρωση η οποία παρεχόταν στα υποκείμενα των δεδομένων κατά την περίοδο εκείνη μέσω του διαδικτυακού τόπου του ΟΑΣΑ.
www.bankingnews.gr
Σχόλια αναγνωστών